Recommandations dans le cadre de la bonne application du RGPD

En août, la FEDIL a adressé à ses membres un questionnaire spécifiquement établi afin d’obtenir un retour d’expérience du contrôle mené de la CNPD dans le cadre de la bonne application du RGPD (si l’entreprise a déjà fait l’objet d’un tel contrôle).

Au vu des questionnaires nous retournés, il s’est révélé que la CNPD semble particulièrement sensible aux différentes mesures de surveillance utilisées par l’employeur dans le cadre des relations de travail (vidéosurveillance, géolocalisation, etc.). Ces dernières ont en effet souvent été contrôlées et certaines non-conformités au regard du RGPD et de l’article L. 261-1. du Code du travail concernant le traitement des données à caractère personnel à des fins de surveillance dans le cadre des relations de travail ont été constatées (obligation d’information individuelle faisait défaut, champ de vision trop large de la caméra de surveillance, durée de conservation des données excessive par rapport à la finalité de la mesure de surveillance, etc.). La FEDIL rappelle que toute mesure de surveillance de l’employeur de ses salariés doit obligatoirement figurer dans le registre des activités de traitement (si l’entreprise dispose d’un tel registre) et y être inscrite conformément à l’article 30 du RGPD. Il est également important à noter que l’employeur a deux obligations d’information à sa charge quand il met en œuvre une mesure de surveillance, la première, de nature individuelle, est destinée à chaque salarié concerné par la mesure de surveillance et doit répondre aux exigences de l’article 13 du RGPD, la deuxième constitue l’information collective à destination de la délégation du personnel. Cette obligation d’information collective doit remplir les conditions de l’article L. 261-1. (2) du Code du travail. La FEDIL tient également à rappeler que la CNPD a publié des lignes directrices en matière de vidéosurveillance et que les raisonnements y développés peuvent également être transposés aux autres mesures de surveillance dans le cadre des relations de travail vu que les dispositions légales applicables sont les mêmes.

Un des principes phares du RGPD ayant également souvent été contrôlé est celui de la minimisation des données tel que prévu par l’article 5 (1) point c du RGPD. La FEDIL rappelle dans ce contexte qu’il est indispensable de pouvoir justifier pour quelles finalités claires et précises les données à caractère personnel sont traitées. Ainsi, les données à caractère personnel n’étant plus nécessaires au regard de la finalité pour laquelle elles ont été collectées doivent en principe être supprimées. Vous trouverez plus d’informations relatives à la durée de conservation des données à caractère personnel dans notre « FAQ dans le cadre du RGPD ».

La FEDIL tient à préciser que les changements en matière de surveillance dans le cadre des relations de travail avaient fait l’objet d’une information envoyée aux membres fin juillet 2018, d’une information intégrée dans notre newsletter ainsi que d’une présentation à l’occasion du cercle des chefs du personnel en date du 19 décembre 2018.

Pour tout renseignement complémentaire, n’hésitez pas à contacter Philippe Heck.